Autoriteit Persoonsgegevens doet onderzoek naar Clinical Diagnostics na hack

De Nederlandse Autoriteit Persoonsgegevens is een onderzoek gestart naar het laboratorium Clinical Diagnostics, bevestigt een woordvoerder aan de NOS. Maandag werd bekend dat de gegevens van honderdduizenden patiënten zijn gestolen bij een hack van het bedrijf.

De hack bij Clinical Diagnostics vond tussen 3 en 6 juli plaats. Volgens de NOS informeerde het bedrijf vorige week samenwerkende organisaties, waaronder Bevolkingsonderzoek Nederland. Die organisatie besloot afgelopen maandag informatie over de hack openbaar te maken.

De NOS schrijft dat verder onderzoek moet uitwijzen of Clinical Diagnostics de AVG heeft overtreden. Een persoon of bedrijf moet bij een hack 'zo snel mogelijk' samenwerkende bedrijven en organisaties informeren. Wat dat precies betekent, hangt volgens de toezichthouder af van verschillende factoren af, zoals het aantal mensen dat geïnformeerd moest worden, de gestolen informatie en de informeermogelijkheden.

Het lek treft in ieder geval 485.000 Nederlandse vrouwen die in het verleden een bevolkingsonderzoek naar baarmoederhalskanker hebben ondergaan. Zij worden op zijn vroegst op 19 augustus met een brief geïnformeerd over het lek. De groep slachtoffers is echter hoogstwaarschijnlijk groter. Volgens RTL Nieuws zijn ook gegevens van vrouwen die woonden in een blijf-van-mijn-lijfhuis gelekt. Dit zijn opvanghuizen voor slachtoffers van huiselijk geweld. Volgens RTL is anonimiteit voor hen vaak cruciaal, omdat er in veel gevallen nog een directe dreiging vanuit de (ex-)partner of familie is.

IT-banen

Reacties (92)

johnnijm 15 augustus 2025 12:19

Ben erg benieuwd wat de verwerkingsafspraken tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics zijn geweest, en of er een verplicht DPIA is uitgevoerd (wat ik ten zeerste betwijfel). Organisaties mogen niet méér persoonsgegevens verwerken dan strikt noodzakelijk. Dat is hier met voeten getreden.

Gazuhl @johnnijm • 15 augustus 2025 12:30

Met de voeten? Er is geen enkele reden waarom ze persoonsgegevens nodig hebben. Het enige wat ze nodig zouden moeten hebben is een monster en een unieke code om dat monster te identificeren.

Standeman @Gazuhl • 15 augustus 2025 12:42

Pathologen mogen geen diagnose stellen zonder de persoonsgegevens. Dat is bij wet verplicht.

Geen idee waarom jij een unieke code uit je hoge hoed tovert, dat is namelijk wettelijk niet toegestaan.

Gazuhl @Standeman • 15 augustus 2025 13:06

Unieke code as in: opdrachtgever registreert de persoon, neemt het monster af, registreert tevens een unieke code om de afname te kunnen koppelen en stuurt monster met code door naar het lab. Lab doet onderzoek, schrijft rapport, stuurt rapport met originele code terug. Oftewel, lab weet niets over de persoonsgegevens.

Als inderdaad in de wet staat dat dat lab alle persoonsgegevens moet registreren, dan vraag il me af waarom dat zo is. Behalve een groot risico, zie ik hier namelijk geen voordelen in.

Standeman @Gazuhl • 15 augustus 2025 13:55

Het staat in de Wet op de Geneeskundige Behandelovereenkomst

Sterker nog, het moet verplicht 20 jaar bewaard worden.
Het is nodig om te weten wie welke diagnose bij welk persoon stelt. Dat moet herleidbaar zijn.

Natuurlijk is een uniek nummer dat ook, maar dat nummer is nog steeds herleidbaar naar een persoon. In dit geval schiet je er misschien iets mee op, maar in het totale plaatje niet zo erg veel.

Tintel

Privacy
Politiek en recht

@Standeman • 15 augustus 2025 14:39

De vraag is dan: stelt het lab een diagnose of voert deze enkel een onderzoek uit?
Ik weet het dus niet; vraagt een arts om een onderzoek voor persoon A en geeft dit lab dit dan aan de arts? Dan is de arts de diagnose steller toch?
(Maar ja; de naam van dit lab impliceert misschien dat ze meer doen...)

Standeman @Tintel • 15 augustus 2025 15:22

Er werken pathologen die diagnoses stellen. Een gemiddelde (huis)arts heeft niet de kennis om een diagnose te stellen voor een bepaald weefsel.
De studie tot basis arts duurt zes jaar. Daar komt nog eens vijf jaar bij voor het specialiseren tot patholoog.

Er werken dus pathologen bij het bedrijf die diagnoses stellen over een bepaald stuk weefsel (in dit geval baarmoederhalskanker). Een huisarts heeft daar de opleiding niet voor.

osseh @Standeman • 15 augustus 2025 16:58

Aanvullend voor dit specifieke onderzoek:

Bij baarmoederhalskanker krijg je een uitstrijkje, waarop alleen wordt getest op een specifieke soort van het hpv (humaan papilloma virus). Dus het resultaat kan simpel zijn:

Negatief of

HPV-06; HPV-16

Daar komt verder niet echt een uitgebreide analyse aan te pas. Maar dat betekend ook dat ze alleen dit resultaat terugkoppelen naar de aanvrager. Verwacht niet dat in dit specifieke geval er een patholoog aan te pas komt. Verder is dat natuurlijk wel noodzakelijk voor een hoop andere testen, of in het geval van vreemde resultaten.

Standeman @osseh • 15 augustus 2025 17:18

Ik zit niet in die wereld, en ik moet ook eerlijk bekennen dat ik er eigenlijk te weinig verstand van heb behalve een gezonde interesse.

Maar heeft het niet een handtekening nodig van een patholoog? Ook al doet die dat in bulk of misschien zelfs dat er geautomatiseerd zijn naam er onder wordt gezet?

Tintel

Privacy
Politiek en recht

@Standeman • 15 augustus 2025 16:13

Dank

Dan moeten ze dus persoonlijke gegevens opslaan (en blijkbaar heel wat).

grimselman @Standeman • 15 augustus 2025 14:58

Dat geldt voor zorgverleners en een laboratorium is geen zorgverlener dus hoeven ook niet de beschikking te hebben over persoonsgegevens.

Communicatie tussen lab en zorgverlener kan prima met een andere unieke sleutel.

J_van_Ekris @grimselman • 15 augustus 2025 15:51

Voor een klinisch chemisch lab gaat dit tot op zeker hoogte op, maar niet voor een pathologielab: die is een volwaardig medebehandelaar die in 90% van de gevallen de daadwerkelijke diagnose stelt. In tegenstelling tot een chemisch laborant is dit een volwaardig medisch specialist, net als een chirurg.

En bij communicatie tussen medisch specialisten is wettelijk het BSN verplicht (wet op de BSN in de zorg). Een pa-lab is net als alle andere specialisaties in een ziekehuis een zelfstandige juridische entiteit (een ziekenhuis is in praktijk een bedrijfsverzamelpand). Enige verschil met andere specialisaties is dat dit lab om logistieke redenen tussen meerdere ziekenhuizen is gaan zitten, inplaats van inpandig bij een ziekenhuis.

grimselman @J_van_Ekris • 15 augustus 2025 15:55

Bedankt voor je nuance. Ik zit zelf in de hoek van de klinisch chemische lab's. Weer wat geleerd.

dataworm @Standeman • 15 augustus 2025 14:18

Sterker nog, het moet verplicht 20 jaar bewaard worden.

Normaal archiveer je dit soort data na afsluiting van het onderzoek direct in een offline DWH. Hier stonden blijkbaar de gegevens van jaren aan onderzoeken gewoon online.

Coolstart @Standeman • 15 augustus 2025 15:44

Je verwisselt wel wat. Bij medische databases is een speudoniem verplicht en mogen de persoonsgegevens niet in dezelfde database staan als de medische resultaten.

Hierdoor kan iemand die alleen toegang heeft tot de medische database niet meteen achterhalen over wie het gaat.

Artsen kunnen de data wel linken maar een hacker die een medische database te pakken krijgt ziet geen namen.

Veel applicaties hebben ook de optie als bijv een student aan statistisch onderzoek wil doen de koppeling met de persoonsgegevens niet kan zien. Dat is medisch niet relevant en je hebt de anonimiteit verzekerd van de patient.

drdelta @Coolstart • 17 augustus 2025 03:24

Artsen kunnen de data wel linken maar een hacker die een medische database te pakken krijgt ziet geen namen.

Dat melding aan het AP, de persuiting, en de uiting naar slachtoffers van Clinical Diagnostics doet anders vrezen.

R_Zwart @Gazuhl • 15 augustus 2025 13:49

De koppeling tussen persoon en unieke code moet absoluut foutvrij zijn om weer de koppeling te kunnen maken met de juiste persoon. Er hoeft maar iets fout te gaan en de testresultaten zijn niet meer te herleiden naar de juiste persoon. En iedereen die met databases of gegevens in het algemeen werkt heeft ongetwijfeld wel eens meegemaakt dat er datacorruptie kan plaats vinden.

Je kunt het huidige probleem natuurlijk oplossen met unieke codes, maar je introduceert er mogelijk weer andere problemen mee. Het blijft een afweging van risico's.

En zelfs als je een perfecte koppeling hebt weten te maken: als je echt wilt kan je altijd nog de link tussen testresultaten en de persoon vinden. Het wordt alleen wat moeilijker. Maar als een hacker vermoedt dat er gegevens tussen zitten van interessante personen dan heeft dat waarde, dus gaat een hacker langer door.

Blizz @R_Zwart • 15 augustus 2025 14:33

Dit vind ik de meest zinloze kritiek op hashes of databases. Ja, datacorruptie kan plaatsvinden. Gaan we dan digitale data afschaffen? Terug naar papier? Maar daar kan ook beschadiging plaatsvinden. Dan maar terug naar het stenen tijdperk?

Het doel van de gesuggereerde opzet is om het lab geen persoonsgegevens te sturen en ik zie ook niet in waarom een lab dat nodig zou moeten hebben als ze zelf geen contact hebben met de patiënt.

[Reactie gewijzigd door Blizz op 15 augustus 2025 14:35]

Tintel

Privacy
Politiek en recht

@R_Zwart • 15 augustus 2025 14:42

Eh - ja het nummer moet blijven kloppen en uniek zijn.... net zoals de naam en geboortedatum goed moeten worden ingevuld.....

En iedereen die met databases of gegevens in het algemeen werkt heeft ongetwijfeld wel eens meegemaakt dat er datacorruptie kan plaats vinden.

Wat ook gewoon kan gebeuren als de persoonsgegevens worden opgeslagen.....?

bartjenl

@Gazuhl • 15 augustus 2025 14:22

Ik vermoed dat het de bedoeling is dat zelfs als die opdrachtgever 10 jaar later failliet is of verdwenen of gehackt of iets, je altijd nog direct naar het lab kunt en toegang kunt krijgen tot jouw medische informatie. Als je alles via dat unieke-ID-oplossingen doet, krijg je enorme afhankelijkheid van een hele keten aan organisaties. En dat, kan ik me indenken, heeft ook weer zo z’n nadelen.

Tintel

Privacy
Politiek en recht

@bartjenl • 15 augustus 2025 14:45

Als een arts onderzoek laat doen bij allerlei externe bedrijven dan weet de patient daar toch niets van af (en hoeft daar niets van af te weten)? Dus arts stuurt bloedmonster op naar lab met uniek id...lab stuurt resultaat terug voor dat id....klaar.
En als de arts verdwijnt en daarmee de database met patienten gegevens.... tja....dan kan nog niet iemand elk laboratorium benaderen om te vragen of ze nog wat gegevens hebben.... En bijhouden welk lab is gebruikt is niet de taak van de patient.

Isnowiz @bartjenl • 15 augustus 2025 14:47

Een escrow-backup bij het RIVM zou een prima oplossing zijn om de data te beschermen bij faillissement of bijv. een ransomware-aanval.

J_van_Ekris @Gazuhl • 15 augustus 2025 16:02

Als inderdaad in de wet staat dat dat lab alle persoonsgegevens moet registreren, dan vraag il me af waarom dat zo is. Behalve een groot risico, zie ik hier namelijk geen voordelen in.

Om te beginnen het voorkomen van patientverwisseling. Pathologen zijn volwaardig medisch specialisten en moeten met hun oncologische collega's kunnen overleggen, en dan helpt het enorm als je wederzijds kunt vaststellen dat je het over dezelfde patient hebt. Als je naar bepaalde diagnoses kijkt die een patholoog stelt dan komt daar soms ook helaas de conclusie uit dat de patient uitbehandeld is. Ook escaleert een patholoog als de snijvlakken "niet schoon zijn", wat vaak betekent dat er na een telefoontje een spoedoperatie volgt om de tumor nu wel volledig te verwijderen.

En de WGBO verplicht elke medicus een dossier van al zijn beslissingen bij te houden. En daar krijg je als patient ook rechten mee omdat dat een second opinion eenvoudiger maakt.

Als diagnosticerend specialist heeft een patholoog ook informatie nodig. In voorkomende gevallen zal een patholoog dan ook het hele EPD willen raadplegen (in ieder geval wat ontsloten is) om zo een beter beeld te krijgen waar hij naar kijkt. Het maakt enorm veel uit of het aannemelijk is of er sprake is van uitzaaiingen van eerdere tumoren, of dat het hoogstwaarschijnlijk de primaire tumor is. En dat soort info raadplegen kan alleen op basis van het BSN.

wondexx @Gazuhl • 15 augustus 2025 14:37

Ben het helemaal met je eens, wellicht was een stap richting pseudonimiseren nog een betere stap geweest.

Hetzelfde is van toepassing op NAW gegevens, hoop dat de EU Digital Identity Wallet straks elke vorm van informatie uitlekken kan minimaliseren en relatie tot andere informatie kan reduceren.

Calamor @Standeman • 15 augustus 2025 13:16

Ik zat er zelf ook aan te denken, waarom geen unieke code met iets als 11 proef er bij gebruiken. Externe bedrijven hebben dan geen gegevens en kunnen dan makkelijk testen doen. Lijk mij ook wel handig, krijg iemand bv. een test van een BNer, Maxima onder ogen krijg, je meer kans dat het rond gaat dan als je alleen maar de unieke code weet. Maar misschien denk ik te simpel er over. Ik werk er niet in.

Het is jammer dat ze via de wet verplicht zijn om die gegevens te hebben. Misschien is het dan handig om naar de wet te kijken, of daar iets aangepast kan worden. En dit is ook niet simpel lijk mij.

[Reactie gewijzigd door Calamor op 15 augustus 2025 13:38]

CivLord

@Calamor • 18 augustus 2025 08:54

Het BSN is juist zo'n per persoon unieke code die speciaal is bedoeld voor dit soort zaken! De rest van de persoonsgegevens hangt daar aan vast. Dat maakt buiten de computersystemen de communicatie makkelijker. Bij telefonische communicatie gaat het praten over de resultaten van mevrouw Bakker en mevrouw De Vries makkelijker dan over BSN 123456789 en 234567890.

swhnld

@Standeman • 15 augustus 2025 14:26

Vriendelijk verzoek, link het wetsartikel met dit soort uitspraken, je hebt vast gelijk, maar het discussieert een stuk makkelijker om ergens naar te wijzen en levert meer toegevoegde waarde aan de discussie.

Bergen @Gazuhl • 15 augustus 2025 13:43

Met de voeten?

"Met de voeten getreden" is een uitdrukking.

Het betekent zoiets als: niet respecteren, minachten, opzettelijk overtreden.

bytemaster460 @Gazuhl • 15 augustus 2025 22:03

Deze opmerking zie ik overal terugkomen maar er zijn nu eenmaal regels van toepassing die het vaak niet mogelijk maken met alleen een uniek nummer te werken in de zorg.

Linux gebruiker @johnnijm • 15 augustus 2025 12:40

Ben erg benieuwd wat de verwerkingsafspraken tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics zijn geweest, en of er een verplicht DPIA is uitgevoerd (wat ik ten zeerste betwijfel). Organisaties mogen niet méér persoonsgegevens verwerken dan strikt noodzakelijk. Dat is hier met voeten getreden.

Zo'n laboratorium heeft gegevens nodig om onderzoek te doen, te declareren bij ziektekostenverzekeraar. De huisarts te informeren, etc. In geval van een uitstrijkje krijgt de vrouw een uitnodiging waarmee zij naar de huisarts gaat, deze brief wordt ingevuld om met de uitstrijk naar het laboratorium te worden verzonden. Ik blijf het een slechte zaak vinden dat er zo roekeloos met medische gegevens omgesprongen wordt.

metalmania_666

@Linux gebruiker • 15 augustus 2025 13:08

Dat hoory het laboratorium niet te doen. Dat hoort degene te doen die de opdracht aan het laboratorium te doen.

Bij mij zijn ook een aantal keer onderzoeken naar een extern laboratorium gestuurd, maar ik kreeg toch echt bericht van mijn eigen ziekenhuisafdeling

bzuidgeest

Politiek en recht

@metalmania_666 • 15 augustus 2025 14:03

Jij krijgt bericht van de ziekenhuisafdeling, maar blijkbaar moet bij wet elk monster te herleiden zijn naar een persoon door de instantie die het heeft. Dat is blijkbaar o.a. om fouten te voorkomen en om het moeilijker te maken om met een mysterie monster te zitten.

metalmania_666

@bzuidgeest • 15 augustus 2025 14:07

Dat klopt.

Maar ik reageerde op @Linux gebruiker met zijn stelling dat het laboratorium rechtstreeks contact opneemt met de mensen. En dat is dus niet het geval

bzuidgeest

Politiek en recht

@metalmania_666 • 15 augustus 2025 14:11

ah, ik dacht dat je gegevens opslaan bedoelde.

Isnowiz @bzuidgeest • 15 augustus 2025 14:40

De herleidbaarheid is een begrijpelijk eis, maar dat moet anders en slimmer kunnen zonder dat zo'n lab al die gegevens zelf bewaart. Iedereen in de keten zou een puzzelstukje moeten hebben en dan kun je als het nodig is samen de stukjes aan elkaar leggen als het nodig is.

bzuidgeest

Politiek en recht

@Isnowiz • 15 augustus 2025 17:35

Stukjes van de keten hebben de neiging te verdwijnen. Lab's zijn gewoon bedrijven. Die stoppen, fuseren etc etc. Ziekenhuizen komen en gaan. Voor zover ik begrijp is het zo gedaan zodat je geen puzzelstukje zoek kan zijn.

Isnowiz @bzuidgeest • 15 augustus 2025 18:24

De wet had ook een escrow-backup kunnen voorschrijven, dan ben je geen puzzelstukjes kwijt bij faillissement of bijv. een ransomware-aanval.

bzuidgeest

Politiek en recht

@Isnowiz • 15 augustus 2025 21:26

Had gekund, is niet gebeurd, en wie had dan dat weer moeten controleren? Wie een welke software. Etc etc. In elke richting zitten issues.

CivLord

@Isnowiz • 18 augustus 2025 09:00

Zoiets zou het EPD geweest zijn. Maar een meerderheid van de deelnemers aan een referendum over de invoering van het EPD (die somen een minderheid van de Nederlandse bevolking vertegenwoordigden) hebben in hun ongeïnformeerde wijsheid besloten het EPD af te schieten. (Met als resultaat dat er een woud aan tussenoplossingen is ontstaan met een stuk minder toeicht en een stuk minder robuuste beveiliging.)

bytemaster460 @Isnowiz • 15 augustus 2025 22:08

Technisch en theoretisch kan dat inderdaad slimmer en veiliger. In de praktijk werkt het zo niet. Veel kleinere zorginstellingen zoals huisartsenposten, verloskundigepraktijken en ook kleine GGZ-instellingen hebben vaak het geld, het personeel en de kennis niet om aanvragen uniform naar een lab te sturen. Een lab krijgt nog steeds op allerlei manieren de aanvragen binnen. Een lab kan principieel zijn en alleen aannemen wat volgens de standaard is binnengekomen, maar daar kweek je geen goodwill mee naar een patiënt toe. Je houdt dus toch allerlei stromen waarbij ook handmatig ingegrepen moet kunnen worden. Alleen een nummer vastleggen brengt dan juist risico's met zich mee.

bzuidgeest

Politiek en recht

@Linux gebruiker • 15 augustus 2025 14:04

Wie zegt dat er roekeloos met gegevens is omgesprongen? Dat moet onderzoek nog uitwijzen. Human error is niet noodzakelijk roekeloos bijvoorbeeld.

latka @bzuidgeest • 15 augustus 2025 14:14

Als het human error (enkelvoud) is, dan is het op zijn minst een organisatieprobleem.

J_van_Ekris @latka • 15 augustus 2025 16:13

Dat is maar de vraag. Voor de hackers is de business case namelijk best gunstig. Je ziet dat de winst aanzienlijk geweest is, dus dit kan een zeer geraffineerde hackpoging geweest zijn waar wel een paar ton voorinvestering om wat serieuze zero-days aan te schaffen wel te rechtvaardigen is. En dan ben je als IT organisatie wel de sjaak tegen zo'n club.

latka @J_van_Ekris • 15 augustus 2025 17:11

Als je weet dat dat een aanvalsvector is dan is het toch zaak die te voorkomen en als we dan ook nog gewoon bereid zijn om te betalen.... Airgap wellicht als meest draconische maatregel. Ik denk dat veel organisaties nog eens heel hard aan hun hoofd moeten krabben met wat ze (on)bewust allemaal aan het internet verknopen.

bzuidgeest

Politiek en recht

@latka • 15 augustus 2025 17:33

Pak fortinet een firewall product dat je koopt om dingen veilig aan het internet te knopen. Een enorm hackers doelwit echter. En soms heb je een zero-day. Een bug of probleem dat al in het wild word gebruikt voor er een patch is. En dan heb je als organisatie alles perfect geregeld en kan je nog te laat zijn.

En uiteindelijk moet er wel gecommuniceerd worden en een air-gap heeft zijn eigen problemen. Het is gewoon niet eenvoudig. Want geen software is perfect. Ook die software die we hopen dat ons beschermt niet. Firewalls, virusscanners allemaal hebben ze issues. Soms direct en soms indirect door problemen in OS functies van windows die ze gebruiken.

latka @bzuidgeest • 15 augustus 2025 20:51

Punt blijft: software is niet veilig te krijgen dus moet je als organisatie nadenken over het vermijden ipv. lapmiddelen.

bzuidgeest

Politiek en recht

@latka • 15 augustus 2025 21:34

En wat van lapmiddelen doen? Die hebben allemaal een veiligheids issue.

Will je het allemaal op papier? Makkelijk te verliezen, kan kapot etc. Een usb stick, laten we het daar maar niet over hebben.

Software, goed geconfigureerd is een van de beste opties die we hebben. En een als een organisatie buiten hun fout (wat we hier nog niet bij weten), door een zero day bijvoorbeeld de mist in gaat dan is dat het risico dat bij het leven hoord. Shit happens, wat je ook doet. Denken dat er een oplossing bestaat die 100% is, is een grote fout. Hoe zeggen ze dat, no plan survives the battlefield....

gaskabouter @johnnijm • 15 augustus 2025 12:46

Ik denk eigenlijk helemaal niet dat ze meer data verwerken dan strikt noodzakelijk. Dat lees ik ook nergens terug. Om alle uitslagen zorgvuldig op te slaan en te verwerken, en te voldoen aan de wettelijke bewaarplicht, heb je toch een aantal persoonsgegevens nodig waaronder BSN.

Wat ik wel lees is dat ze geen melding hebben gemaakt. En dat mag niet

grimselman @gaskabouter • 15 augustus 2025 15:05

Het opslaan, verwerken en bewaren moet de opdrachtgever, bevolkingsonderzoek nederland, doen. Niet het lab. Het lab mag m.i. best gegevens bewaren voor onderzoeksdoeleinden maar dan wel volledig geanonimiseerd.

gaskabouter @grimselman • 15 augustus 2025 15:11

Als ik een laboratorium bel over een uitslag moeten ze toch echt weten over welke patiënt dat gaat.

Mensen sturen gegevens of materiaal zelf in, daar zullen ze toch ook van moeten registreren van wie ze wat en wanneer hebben gekregen.

Als ze alleen met een monsternummer werken zou dat veel te foutgevoelig zijn en ertoe kunnen leiden dat de verkeerde data aan de verkeerde patiënt gekoppeld wordt.

Als je gaat bloedprikken vragen ze toch echt je naam en geboortedatum het verificatie dus die gegevens hebben ze gewoon nodig

En ze moeten de kosten ook gewoon declareren bij verzekeraars of aanvrager.

[Reactie gewijzigd door gaskabouter op 15 augustus 2025 15:13]

grimselman @gaskabouter • 15 augustus 2025 15:17

Voor alle bloed- en urineonderzoeken die ik gehad heb moest ik uitslag bij mijn huisarts opvragen. Dit is natuurlijk wel n=1.

Ik heb nog nooit gehoord dat men de uitslag bij een lab moest opvragen. Ook niet dat je zelf het monster moet opsturen naar het lab.

gaskabouter @grimselman • 15 augustus 2025 15:27

Als de huisarts dat lab belt moeten ze toch ook eten over wie het gaat?

En er is ook niet altijd een aanvrager het kan ook door mensen zelf ingestuurd worden. Juist bij bevolkingsonderzoek.

In de medische sector gaat het er nu juist om dat data compleet en te verifiëren is om verwisselen of fouten te voorkomen.

Stel je voor. We hebben hier een monster met kanker erin maar geen idee van wie het is...?

Het is ook allemaal gewoon vastgelegd in ISO normen en wordt getoetst bij audits.

[Reactie gewijzigd door gaskabouter op 15 augustus 2025 15:35]

grimselman @gaskabouter • 15 augustus 2025 15:41

Dat kan prima via een uniek nummer dat geen BSN is.

N.B.In de ISO normen wordt niet over BSN's gesproken want ISO normen zijn internationale normen, geen landelijke.

gaskabouter @grimselman • 15 augustus 2025 15:49

Nee klopt maar wel over hoe data bewaard worden en het systeem ingericht moet zijn op robuuste data en vertrouwelijkheid.

En je kan weer een nieuw nummer bedenken maar dat nummer moet ergens dan toch weer gekoppeld worden aan de juiste persoon. Het is eigenlijk gewoon precies waar het BSN voor is bedacht.

Wij kennen ook unieke nummers toe aan patiënten maar zodra je gaat overleggen met een collega of zo moet je toch weer naar de persoonsgegevens van de patiënt want je wil geen verwisseling hebben.

Wij mogen patiënten niet eens accepteren als we geen bsn krijgen

Ik kan ook als bank wel tegen je zeggen dat je pincode super geheim moet blijven dus dat je hem niet mag gebruiken maar dat je zelf maar een nummer moet bedenken maar zo werkt het gewoon niet

[Reactie gewijzigd door gaskabouter op 15 augustus 2025 15:53]

bytemaster460 @grimselman • 15 augustus 2025 22:11

Theoretisch kan dat met een uniek nummer. In de praktijk werkt het zo niet aangezien uniformiteit in datauitwisseling tussen zorginstellingen nog steeds heel ver te zoeken is.

J_van_Ekris @grimselman • 15 augustus 2025 16:07

Het opslaan, verwerken en bewaren moet de opdrachtgever, bevolkingsonderzoek nederland, doen. Niet het lab.

BVO NL is geen medische instantie en ze hebben bovendien geen toegang tot het weefsel voor vervolgonderzoek. Als er bij het BVO afwijkingen geconstateerd worden wordt de vrouw in kwestie door de huisarts gelijk naar een ziekenhuis doorverwezen. Als er vragen over die diagnose zijn moet de dan toegewezen arts vragen kunnen stellen aan de diagnosticerend medicus, de patholoog.

kodak

Autoriteit Persoonsgegevens
Hack
Privacy

@johnnijm • 15 augustus 2025 13:39

In principe horen alle afspraken (dus ook die met ziekenhuizen en artsen) doorgelicht te worden. Niet alleen op wat er op papier staat maar ook hoe dat tot stand is gekomen. Zoals @Quintiemero ook opmerkt, het hoeft niets te verbazen als een groot deel van de opdrachtgevers geen enkele duidelijke moeite heeft gedaan om te controleren of de eisen en beweringen die gedaan worden wel redelijk blijken.

Zo doen ze bijvoorbeeld de bewering dat het snel ontdekt zou zijn. Maar zowel of ze op dat moment al wisten wanneer het inbreken had plaatsgevonden is onduidelijk als wat hun definitie van snel is. En dat zijn al zeer belangrijke punten waar kritisch op gelet hoort te worden voor men gegevens laat verwerken. Duidelijkheid over de betekenis van afspraken en beweringen.

Het laboratorium stelt lering te willen trekken. Ik verwacht dat de toezichthouder snel publiek maakt welke leringen er minimaal getrokken hoort te worden. Zodat de opdrachtgever, zoals onderzoeksstichtingen, ziekenhuizen en artsen, zelf ook harde eisen gaan en blijven stellen voor ze medische en andere persoonlijke gegevens (verder) laten verwerken of hun patienten en onderzoekspersonen hiermee opschepen. Je zal maar een van die honderdduizenden (of meer) personen zijn die op deze opdrachtgevers en laboratorium moet vertrouwen en dat zo zwaar beschadigd ziet dat er van het hele patientgeheim niets is overgebleven en geen van deze organisaties, ziekenhuizen en artsen ook maar iets voor je kan doen wat het weer geheim maakt.

J_van_Ekris @johnnijm • 15 augustus 2025 14:54

Organisaties mogen niet méér persoonsgegevens verwerken dan strikt noodzakelijk. Dat is hier met voeten getreden.

Zullen we met veroordelen wachten totdat de AP daadwerkelijk onderzoek gedaan heeft?

En zoals al verderop gezegd, een patholoog is wettelijk verplicht conform WGBO om bepaalde gegevens te hebben bij onderzoek. De pathologie is als sector in 2005 al eens in een verkenning van de CBP (de rechtsvoorganger van de AP) onderzocht en toen heeft de AP die noodzaak tot verwerking van persoonsgegevens voor diagnosestelling ook onderkend. Dus laat de mensen die verstand van zaken hebben, en de feiten krijgen, het onderzoek afronden voordat we met hooivorken vast mensen gaan spiezen.

HansHier @johnnijm • 15 augustus 2025 12:30

Met voeten getreden, helemaal mee eens. Maar consequenties? Ik betwijfel het...

Quintiemero 15 augustus 2025 12:17

Wat me opvalt is dat steeds meer verwerkers zeggenschap hebben over het waarom, hoe en wat. Als je als organisatie moeilijk doet, ben je vaak de enige, je bent streng, en ze doen het immers altijd zo.
Weet niet of zij hier ook als verwerker kwalificeerden (op papier althans). Maar zo is het wel lastig om stappen te maken. En iedereen maar zwaaien met een ISO-papiertje, want daarmee ben je compliant toch?

Senaxx @Quintiemero • 15 augustus 2025 13:13

Voor mijn werk doe ik voor een ziekhuis redelijk wat externe aanleveringen aan externe partijen. Je hebt naast de wettelijk verplichte aanleveringen ook aanleveringen die veel werk uit handen nemen, of zo gespecialiseerd werk is dat we dat zelf niet kunnen. Maar zoals ik al eens eerder in een topic gepost had kijken wij altijd streng naar wat er gevraagd wordt. Een BSN nummer is bij ons bijvoorbeeld een no-go. Je kan het als verwerker nog vragen maar dat leveren wij nooit aan.

Er zijn bijvoorbeeld verwerkers die ook een eigen "datawarehouse" hebben maar die moeten bij ons allemaal binnen onze omgeving geplaatst worden en de data gaat nooit naar buiten.

Alle losse aanleveringen zoals i2i / logex / pharmintel / mprove / worden altijd scherp tegen het ligt gehouden en getoetst. Deze datasets worden altijd geanonimiseerd en gepseudonimiseerd. Veelal gaat het externe partijden ook niet om wie de persoon was maar meer hoeveel (hoeveel is er van behandeling x gedaan voor specialisme y in het jaar 2025)

humptiedumptie 15 augustus 2025 13:17

Wat er zou moeten veranderen is dat het BSN nummer niet geheim hoeft te zijn.
Waarom kunnen we niet eenvoudig een oplossing implementeren vergelijkbaar met die de banken ook al lang gebruiken, of inzetten van DigID.
Identificatie zou m.i. altijd digitaal moeten plaatsvinden, zodat zo'n BSN identificatie, of je naam of geboortedatum etc niet meer van belang zijn ter voorkoming fraude.

wooha @humptiedumptie • 15 augustus 2025 19:50

Het BSN zou inderdaad niet gebruikt moeten worden als onderdeel van authenticatie en ik hoop dat dit ook niet gebeurt. Daar heb je DigID en fysieke identificatiebewijzen voor.

Het identificeert wel een persoon binnen door de overheid aangewezen organisaties en kan dus gebruikt worden om gegevens tussen die organisaties te koppelen. Dat maakt het op zijn minst indirect een gevoelig persoonsgegeven en daarmee beschermenswaardig. Waarom ook niet als zelfs je naam beschermd moet worden in databases.

Al vraag ik me net als jij wel af hoeveel toegevoegde waarde een BSN heeft voor afpersers. Die laatsten gaat het om de gevoelige gegevens zelf en die komen altijd samen met de persoonsnaam en vaak zelfs adresgegevens als bijna identificerende gegevens. Het BSN op zich is volgens de wet dan ook geen bijzonder persoonsgegeven.

Het BSN is wel nuttig als je identiteitsbewijzen wil vervalsen. En het kan helpen bij social engineering. Of als betere koppeling tussen meerdere uitgelekte databases. Misschien wordt het daarom wel als privacygevoelig beschouwd met aparte wetgeving.

PixelPionier 15 augustus 2025 12:43

Ik vind het toch heel bijzonder om op een echt Tweakers onderwerp 'Volgens RTL' te moeten lezen. Het is voor Tweakers kinderachtig eenvoudig om op zo'n onderwerp zelf even wat onderzoek te doen toch? Die data is zo te vinden op het darkweb en dan kan RTL zeggen: volgens Tweakers..... naja, ik kijk in vervolg wel op RTL dan.

[Reactie gewijzigd door PixelPionier op 15 augustus 2025 12:43]

Webgnome @PixelPionier • 15 augustus 2025 13:37

In dit geval heeft RTL als eerste over dit lek geschreven / onderzoek gedaan en dan is het niet chique om dat te negeren?

MennoE @PixelPionier • 15 augustus 2025 14:35

Tweakers is een techwebsite en geen privacy website. Het is om niet echt aan Tweakers om te gaan uitpluizen welke persoonsgegevens precies zijn gestolen.

Jaldea 15 augustus 2025 12:59

Wie zijn er nu precies gehackt. Dat was toch Eurofins?

slowdive 15 augustus 2025 13:16

Het lijkt me belangrijk dat er publiekelijk gecommuniceerd wordt wat de rijkwijdte van deze hack is. Behalve de half miljoen vrouwen zijn er vast nog andere mensen getroffen.

Het bedrijf schijnt de hackers betaald te hebben? Is dat zo? En had dat voor de slachtoffers het gewenste effect?

Is het bedrijf zorgvuldig geweest of is hen nalatigheid te verwijten?

Kunnen de slachtoffers collectief actie ondernemen om schadevergoeding te eisen?

Advanced03 15 augustus 2025 15:31

Keiharde boete geven deze amateurs

CivLord

@Advanced03 • 18 augustus 2025 09:34

Dan heb je ook vast een spijkerharde analyse waaruit blijkt dat het amateurs zijn?

HansHier 15 augustus 2025 12:16

Mede vanwege wéér een lek vind ik de (vergevorderde) ECB plannen om een digitale euro te lanceren zeer bedenkelijk en een uitermate groot risico voor onze privacy.

Shal-Ziar @HansHier • 15 augustus 2025 12:35

offtopic:
Je weet dat het pin betalingsverkeer via Meastro en Visa gaat nu? Dat deze transactiedata zeer waarschijnlijk via de VS wordt verwerkt? Dat voor elke transactie die via deze partijen verloopt een fee wordt afgedragen, wat ons betalingsverkeer en dus de betalingen duurder maakt?
Als we de digitale Euro in gebruik nemen dan ligt de controle in elk geval bij een partij waar we politiek direct druk op kunnen zetten mochten er misstanden plaatsvinden. Bovendien is het zelfs zo dat de ECB van plan is burgers een wallet te laten aanhouden zonder een bank.
Daarbuiten maakt de digitale euro het betalingsverkeer, lees kosten voor iedereen goedkoper omdat we geen fees hoeven af te dragen aan Visa/Mastercard. Ook maakt het ons strategisch onafhankelijker.

Linkje van de ECB
Op Youtube is het echt wild van de bangmakerij over deze digitale munt, ben benieuwd welke agenda daar dan weer achter zit.

Ontopic:
De AP vraagt al jaren om meer budget dus ik vind niet gek dat ze achter de zaken aanlopen. De digitale wereld is enorm.
nieuws: Budget voor Autoriteit Persoonsgegevens stijgt volgend jaar tot 49 miljoen euro

[Reactie gewijzigd door Shal-Ziar op 15 augustus 2025 14:07]

CivLord

@HansHier • 18 augustus 2025 08:11

Welke ongekozen engerds?

De leden van de Eurpese commissie worden aangewezen/ gekozen door de gekozen regeringen van de lidstaten, waarna de kandidatuur door het direct gekozen Europarlement wordt goedgekeurd.
En de plannen die door de Europese commissie gemaakt worden moeten ook eerst door de gekozen regeringen van de lidstaten goedgekeurd worden en daarna nog eens door het direct gekozen Europarlement.

Ik maak me zelf meer zorgen over het democratische gehalte van onze 1e kamer. De leden worden aangewezen door partijen die worden gekozen op regionale issues, maar gaan zich dan wel direct bemoeiden met de landelijke partijpolitiek door de besluitvorming van de direct gekozen 2e kamer te frustreren.

Dat je je minder zorgen maakt over Amerkiaanse commerciële bedrijven, die er op uit zijn hun klanten zo veel mogelijk uit te kniijpen voor hun winst en die door conservatief Amerika beïnvloed worden om bepaalde betalingen van bepaalde bedrijven wel of niet te verwerken dan over direct of indirect gekozen voksvertegenwoordigers blows my mind!

[Reactie gewijzigd door CivLord op 18 augustus 2025 12:06]

yevgeny @DropjesLover • 15 augustus 2025 13:50

2024 - 320 man/vrouw personeel, 19 onderzoeken
2023 - 223 man/vrouw personeel, 16 onderzoeken
2022 - 183 man/vrouw personeel, 41 onderzoeken

Des te meer geld en personeel er naar toe gaat, des te lager de prestaties.

Boetes worden ingetrokken of door een rechter nietig verklaard. Het is een geld verbrandende organisatie waar weinig zinnigs uit komt.

Gisteren op tweakers
nieuws: AP deelt eerste boete aan individu uit, maar rechter verlaagt boetebedrag

jdh009

Politiek en recht

@yevgeny • 15 augustus 2025 15:01

2024 - 320 man/vrouw personeel, 19 onderzoeken
2023 - 223 man/vrouw personeel, 16 onderzoeken
2022 - 183 man/vrouw personeel, 41 onderzoeken

Des te meer geld en personeel er naar toe gaat, des te lager de prestaties.

Boetes worden ingetrokken of door een rechter nietig verklaard. Het is een geld verbrandende organisatie waar weinig zinnigs uit komt

Je slaat hier toch behoorlijk de plank mis. Dit soort lekker populistische en kortzichtige cijfervergelijkingen leveren misschien een leuk praatplaatje op, maar geen realistisch beeld van hoe de AP daadwerkelijk werkt. In twee korte conclusies weet je al meerdere denkfouten te stapelen, zonder ook maar een stap verder te kijken dan één tabelletje in het jaarverslag.

Die “onderzoeken” waar je het over hebt, zijn alleen de formele handhavingsonderzoeken. De AP doet daarnaast tienduizenden andere zaken per jaar: zover ik kan vinden in 2024 (jaarverslag 2024) bijna 38.000 datalekmeldingen afgehandeld, ruim 8.500 klachten ontvangen en meer dan 7.600 klachten inhoudelijk opgelost. Dat zie je niet terug in jouw getalletjes, maar het is wél werk dat burgers direct helpt.

Meer personeel betekent tevens hier vooral dat achterstanden zijn weggewerkt en complexe zaken aangepakt. Eén groot boetedossier kost soms meer tijd dan tien kleintjes. Minder formele onderzoeken is dus geen bewijs voor “minder prestaties”, hoogstens voor andere prioriteiten of steeds complexere dossiers.

Dan die “structureel ingetrokken” boetes: er zijn zeker een paar grote zaken gesneuveld of verlaagd, maar het merendeel van de AP-boetes staat gewoon overeind. In elke rechtsstaat toetst een rechter of een sanctie proportioneel is, dat is geen uniek falen van de AP. Wel iets waar de politiek op moet inspelen om de regelgeving te verbeteren en meer tanden te geven aan de AP (mocht het onterecht zijn).

Als je wilt dat mensen en organisaties de regels naleven, moet je daar in investeren. Net als bij verkeersregels is de pakkans in mijn ogen vaak belangrijker dan de hoogte van de boete. Meer capaciteit betekent dat de toezichthouder sneller kan ingrijpen, overtredingen daadwerkelijk ziet en naleving structureel verbetert.

Trouwens, laat juist een zaak als de hack bij Clinical Diagnostics in mijn ogen goed zien waarom de AP voldoende capaciteit moet hebben om naast het dagelijkse werk ook grote incidenten direct op te pakken.

Des te meer geld en personeel er naar toe gaat, des te lager de prestaties.

Misschien moeten we het volgens jouw logica maar terugbrengen naar één fte. Dan zouden ze, als jouw redenering klopt, ineens op topniveau presteren. En als we die ene persoon dan ook nog eens tot het uiterste uitknijpen, moet de productiviteit volgens jou helemaal door het dak gaan.

[Reactie gewijzigd door jdh009 op 15 augustus 2025 15:53]

J_van_Ekris @yevgeny • 15 augustus 2025 17:39

Die 38000 meldingen en 8500 klachten in 2024 hebben geleid tot wel 19 onderzoeken ...

Een officier van justitie doet samen met zijn team 100-300 zaken per jaar

Maar de AP moet haar eigen onderzoek doen, en het zijn vaak vrij formele processen waar juristen brieven naar elkaar sturen, voordat men uberhaupt tot de constatering van een overtreding kan komen. Niet zaken waar een een officier van justitie alleen de gang naar de rechter moet begeleiden en een groot deel van het voorwerk al gedaan is.

moimeme @J_van_Ekris • 16 augustus 2025 19:46

Ik geloof dat officier van justitie opsporingsambtenaar zijn.

DropjesLover @yevgeny • 15 augustus 2025 13:57

Dat zegt weinig zonder de achtergrond te kennen.
Misschien omdat ze in de eerste rechtszaken door de rechter teruggefloten zijn op te zware interpretaties en matige motivatie, waardoor er meer en beter onderzoek nodig is?
Sowieso zit er, zoals in elke organisatie, een enorme massatraagheid die een verschil tussen aantal mensen en aantal zaken kan verklaren.

Maar ik ben met je eens, ~15 man per onderzoek, fulltime, dat klinkt heel vreemd.

yevgeny @DropjesLover • 15 augustus 2025 14:23

Zullen niet allemaal onderzoekers zijn, maar AP is opgericht in 1989

Filmpje waarin ze uitleggen wat ze doen in een prachtig gebouw.
Kijken naar algoritme, meeting voorbereiden, overleggen met andere toezichthouder, agenda van voorzitter op orde brengen ...

https://www.autoriteitpersoonsgegevens.nl/werken-bij-de-ap/medewerkersverhalen-ap

Gaan we deze ambtenaren missen als ze een half jaar niets doen ?

Wouterie @DropjesLover • 15 augustus 2025 12:34

Ik ben het helaas met je eens. De AP loopt hopeloos achter de feiten aan en dat is niet hun eigen schuld. Er moet echt meer geld naar de toezichthouders en waakhonden zodat ze zowaar kunnen doen waar ze voor aangenomen zijn.

Maar ja, privacy levert politiek gezien niets op. Het kost alleen maar geld, dus waarom zouden de populisten daar geld aan willen uitgeven?

R_Zwart @Wouterie • 15 augustus 2025 13:58

Het probleem is de spagaat waar we in zitten. Aan de ene kant "zuchten we onder de regeldruk" en aan de andere kant willen we dat er veel meer gecontroleerd gaat worden, en indien nodig er meer regels komen.
Welke kant je ook op gaat, het is nooit goed. En nu gaat het om privacy, wat behoorlijk belangrijk is. Maar als je je focust op een ander onderwerp is dat ook heel erg belangrijk.

CamelKnight @DropjesLover • 15 augustus 2025 13:46

Ik begrijp niet zo goed waarom je zoveel negatieve stemmen krijgt. Wat je zegt klopt grotendeels.

Van de week nog een curator die minder hoefde te betalen omdat de AP er te lang over deed om tot een boete te komen (link) en daarvoor was het de Kruidvat (link)

De enige opmerking die ik heb is dat ik het niet zozeer voor de bühne zou noemen. Ik ga er vanuit dat de AP echt wel dit wil onderzoeken maar feit is dat die onderzoeken inderdaad gewoon vaak genoeg te lang duren omdat ze te weinig geld en te weinig personeel hebben. Problemen die al jarenlang bekend zijn en ze zelf regelmatig aankaarten.

DropjesLover @CamelKnight • 15 augustus 2025 13:52

Weten dat je ergens de mankracht totaal niet voor hebt, maar toch een streng onderzoek aankondigen naar aanleiding van iets wat in de media komt... Vind ik best onder "voor de buhne" vallen

De hoeveelheid minnetjes, tsja... Of verkeerd begrepen, of velen die voor een kleinere overheid met minder ambtenaren en toezichthouders zijn misschien?
Ik dacht dat t.net redelijk realistisch was dat net een grotere overheid noodzakelijk is om dit soort dingen daadwerkelijk, daadkrachtig en binnen redelijke termijnen op te pakken, maar aan de andere kant... het is de frontpage.

wildhagen

Politiek en recht
Privacy

@Suncatcher • 15 augustus 2025 12:19

Het AP incasseert helemaal niets. De boetes worden wel door hen opgelegd, maar gaan naar de staatskas. Juist om dat soort belangenverstrengeling te voorkomen.

EdwardS @wildhagen • 15 augustus 2025 13:46

Maar een laboratorium wordt gefinancierd door bijvoorbeeld ziekenhuizen, overheid, klinieken etc.

Dus hoe wordt Clinical Diagnostics gefinancierd en betaald de burger dan niet de boete uiteindelijk?

Clinical krijgt een boete en betaald die met het geld wat ze hebben gekregen van hun investeerders zoals eerder genoemd.

Vind dat wel interessant wie dat Laboratorium financieel ondersteunt en wie uiteindelijk de boete betaald.

Somoghi @EdwardS • 15 augustus 2025 14:08

Er is zelfs de mogelijkheid dat ze het verwerken van persoonsgegevens wordt ontzegd. Dan kunnen ze de toko wel sluiten.

Op het moment dat ze te duur zouden worden gaan klanten elders kijken, kunnen ze de toko wel sluiten.

Goede naam kwijt, klanten lopen weg, kunnen ze de toko wel sluiten.

Zo maar een paar voorbeelden, zo'n vaart zal het vast niet lopen, maar er zal hard moeten worden gewerkt. Wat ik niet echt snap is dat het bedrijf nu zo de boeman is, maar wat zou er met de hackers gebeuren eens gesnapt?

bytemaster460 @EdwardS • 15 augustus 2025 22:16

In die zin wordt iedere boete betaald door burgers.

Dit lab is gewoon een commercieel bedrijf dat analyses uitvoert. Ze kunnen natuurlijk de prijs verhogen om de boete terug te verdienen maar dan gaan de klanten (ziekenuizen, huisartsen) mogelijk naar een ander lab met een lagere prijs.

sOid @Suncatcher • 15 augustus 2025 12:17

Het Centraal Justitieel Incassobureau (CJIB) int de boetes voor de AP. De AP houdt het geld uit de boetes niet zelf, maar zorgt dat het terechtkomt in de schatkist. Het geld gaat dus naar de algemene middelen van de overheid.

https://www.autoriteitpersoonsgegevens.nl/over-de-autoriteit-persoonsgegevens/boetes-en-andere-sancties-van-de-ap

[Reactie gewijzigd door sOid op 15 augustus 2025 12:17]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave: